６．　ISMS内部監査

▼監査の目的
　会社は、次の事について前もって決めた(以内の)間隔で、ISMSについて監査を行って下さい。

　　▽ISMSの出来具合
　　ａ）ISMSが、ISO27001に合っているかどうか。
　　ｂ）ISMSが、法律などの規制にあっているかどうか。
　　ｃ）また、ISO27001以外にもISMSを作り上げる時に基本としたものがあるなら、その基本と
　　　した事にISMSが合っているかどうか。
　　
　　▽ISMSの実施状況
　　ｄ）ISMSが、社内でちゃんと守られていて、効果が出ていて、必要があったら改められている
　　　かどうか。
　　ｅ）ISMSが、期待したとおりに行われているかどうか。

　注：「ISMSについて監査する」という事は、ISMSの『管理目的』、『管理策』、『仕事の流れ』、
　　『手順』などについて監査する事になります。


▼(年間)監査プログラム
　監査は全社一律の間隔で行うのではなく、その仕事の情報セキュリティ上の重要さや、これまでの監査の結果を考えて、監査の間隔、年間の監査実施回数、監査に使う時間などを考えた(年間)プログラムを計画して下さい。もちろん、このプログラムは計画した通りに実施されて、必要があったら改められなくてはいけません。

　　【解説】例えば、個人情報を使う仕事、電子商取引に関する仕事、社外から通信で社内の
　　　　サーバーにアクセスする仕事をする人や、ネットワークの仕様を決める部門などは情報
　　　　セキュリティ的に重要と言えます。このような部分や、前回の監査 で問題がたくさん発見
　　　　されたところは、重点的に監査する計画にします。

　　　　（年間）プログラムは、必ずしも「年間プログラム」でなければならないわけではありま
　　　せん。会社内が定期的にまんべんなく、すべてのルールに対して監査できる様な計画を
　　　指します。
　　　　もちろん、年度初めに○月○日○時から、どこそこの部署の××のルールについての
　　　監査を行う、と計画しても都合が悪くなるケースがたくさん出るに決まっていますから、
　　　○月頃どこそのこの部署あるいは何のルールについて監査するという程度に決まって
　　　いれば十分でしょう。


▼監査手順（やり方）
　この監査は、手順書を作ってその通り行われる様にして下さい。手順書は必要な場合には改めて下さい。その”監査のやり方”には、下の事までは決めておいて下さい。

　ａ）監査の計画をしたり、実際に行う事の責任者や、どうやって行うかというやり方
　ｂ）監査の報告をする責任者や、どうやって報告するかというやり方
　ｃ）監査の記録の保管の責任者や、どうやって保管するかというやり方

　ｄ）監査の基準
　ｅ）監査をする範囲
　ｆ）監査の頻度（年間の実施回数、監査の間隔など）


▼監査がなれ合いにならない様に
　監査員が見つけた不具合を握りつぶしてしまったり、「見なかった事にしておく」という様なことにしてしまったり、監査員が頭が上がらない人の監査をすることになってしまったのでは、監査の効果があがりません。誰が社内のどこを監査するのか決めるときや、実際に監査をするときには、公平に監査されるようにして下さい。少なくとも監査員は、自分の担当した仕事を監査してはいけません。


▼監査で発見された問題点
　内部監査で発見された問題点は、次のようにして下さい。

　ａ）監査を受けた範囲の責任者が責任を持って、確実に、なるべく早く
　　１）問題がないようにする。
　　２）問題がまた起きないようにする(根本解決する)

　ｂ）遅くともマネジメントレビューの機会までに、
　　１）問題点に対して、どんな事をしたか
　　２）その結果どうなったか　　　　　　　　　　を社長さん達に報告する。



　　　　　　　　　　　目次へ　　　　　　全体のトップへ　　　　　　表示色の原則